Vidéo: Conférence CLUSIF "PCI-DSS : un standard contraignant ?!" - 2011 (2/6) 2024
Bien que pas encore (…) la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un exemple d'une initiative de l'industrie pour imposer et appliquer des normes de sécurité. PCI DSS s'applique à toutes les entreprises du monde entier qui transmettent, traitent ou stockent des transactions par carte de paiement (carte de crédit) pour traiter avec des clients - que cette entreprise traite des milliers de transactions par jour ou une seule transaction par an.
La conformité est imposée et appliquée par les marques de cartes de paiement (American Express, MasterCard, Visa, etc.) et chaque marque de carte de paiement gère son propre programme de conformité.
Bien que la norme PCI DSS soit une norme industrielle plutôt qu'un mandat légal, de nombreux États commencent à adopter une législation qui rendrait obligatoire la conformité PCI (ou du moins le respect de certaines dispositions) pour les organisations qui font des affaires dans cet État.
PCI DSS exige que les organisations soumettent une autoévaluation annuelle et une analyse de réseau, ou effectuent des évaluations de sécurité des données PCI sur site et des analyses de réseau trimestrielles. Les exigences réelles dépendent du nombre de transactions par carte de paiement traitées par une organisation et d'autres facteurs, tels que les incidents de perte de données précédents.
PCI DSS version 3. 0 se compose de six principes de base, soutenus par 12 exigences d'accompagnement, et plus de 200 procédures spécifiques de conformité. Ceux-ci incluent
- Principe 1: Construire et maintenir un réseau sécurisé:
- Exigence 1: Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de cartes.
- Exigence 2: N'utilisez pas les valeurs par défaut fournies par le fournisseur pour les mots de passe du système et d'autres paramètres de sécurité.
- Principe 2: Protéger les données du titulaire de la carte:
- Exigence 3: Protéger les données stockées sur le titulaire de la carte.
- Exigence 4: Chiffrer la transmission des données de titulaire de carte sur des réseaux publics ouverts.
- Principe 3: Maintenir un programme de gestion des vulnérabilités:
- Exigence 5: Utiliser et mettre à jour régulièrement un logiciel antivirus.
- Exigence 6: Développer et maintenir des systèmes et des applications sécurisés.
- Principe 4: Mettre en place des mesures de contrôle d'accès strictes:
- Exigence n ° 7: Restreindre l'accès aux données des titulaires de carte en fonction des besoins de l'entreprise.
- Exigence 8: Affectez un identifiant unique à chaque personne ayant un accès à l'ordinateur.
- Exigence 9: Restreindre l'accès physique aux données du titulaire de carte.
- Principe 5: Surveiller et tester régulièrement les réseaux:
- Exigence 10: Suivre et surveiller tous les accès aux ressources réseau et aux données des titulaires de carte.
- Exigence 11: Testez régulièrement les systèmes et processus de sécurité.
- Principe 6: Maintenir une politique de sécurité de l'information:
- Exigence 12: Maintenir une politique qui traite de la sécurité de l'information.
Des pénalités pour non-conformité sont imposées par les marques de carte de paiement et ne sont pas autorisées à traiter les transactions par carte de crédit, les amendes pouvant aller jusqu'à 25 000 $ par mois pour les infractions mineures et les amendes pouvant atteindre 500 000 $. données financières réelles perdues ou volées.
